安全存储

DEK：数据加密密钥
KEK：密钥加密密钥

Master Key：一般会描述以上两个键之一。取决于实施它的方案。

这种类型的加密方案通常用于安全存储。众所周知，Microsoft Windows 使用这种类型的加密方案来保护用户凭据和为用户保护的其他类型的数据。

Microsoft使用用户的密码生成密钥加密密钥。然后使用此 KEK 加密他们所谓的主密钥。主密钥实际上是一个数据加密密钥。它将用于加密放在用户受保护存储中的任何数据。

全盘加密的密钥管理也将以相同的方式工作。FDE 软件会随机生成一个 DEK，然后使用用户的密码/密钥文件/智能卡创建一个 KEK，以对 DEK 进行加密。此机制允许用户更改密码，而无需解密和重新加密整个卷。相反，DEK 只是使用新的 KEK 重新加密。

安全协议

您听到的在SSL/TLS或 SSH 中使用的主密钥是不同的。一般来说，共享密钥与安全算法混合在一起，以便双方都可以生成主密钥。然后使用主密钥为通信双方生成加密密钥、完整性密钥和初始化向量。以下是这些密钥是如何为 SSL/TLS派生的。

本文旨在为想要理解概念术语的人们提供简化的解释，无需深入了解。

这些术语用于对称密钥加密。

DEK - 数据加密密钥 用于加密数据的密钥

例如密钥：1234 使用 AES 128 作为加密算法 - 1234 是 DEK

KEK - 密钥加密密钥

例如用 9999 加密（来自上面的 DEK）1234；9999 是 KEK

主密钥或MEK - 主加密密钥

该密钥用于在传输过程中对 DEK 和 KEK 进行加密/解密；通常用于 KEK 而不是 DEK。

想象一下银行储物柜系统的场景，你有一把钥匙，银行工作人员有另一把钥匙，当两把放在一起时，你的储物柜在这里被打开，mek 是银行工作人员的钥匙，dek 是你的钥匙。